ABLAUFBASIERTE ECMP-Weiterleitung
In diesem Thema erhalten Sie einen kurzen Überblick über multipath (ECMP) zu gleichen Kosten für die Weiterleitung und den Reverse-Side-Datenverkehr auf Geräten der SRX-Serie und vSRX-Instanzen von Junos OS. Umfassende Abdeckung der ECMP-Implementierung auf Geräten der Junos OS SRX-Serie und vSRX-Instanzen.
Grundlegendes zur ablaufbasierten ECMP-Weiterleitung
Bei equal-cost Multipath (ECMP) handelt es sich um eine Netzwerk-Routing-Strategie, die es ermöglicht, den Datenverkehr derselben Sitzung oder des Datenstroms – d. h. des Datenverkehrs mit derselben Quelle und demselben Ziel – über mehrere Pfade zu gleichen Kosten zu übertragen. Es ist ein Mechanismus, mit dem Sie den Lastausgleich des Datenverkehrs und die Erhöhung der Bandbreite ermöglichen, indem sie ansonsten ungenutzte Bandbreite auf Verbindungen zum gleichen Ziel vollständig nutzen.
Bei der Weiterleitung eines Pakets muss die Routing-Technologie entscheiden, welcher Next-Hop-Pfad verwendet werden soll. Bei der Ermittlung berücksichtigt das Gerät die Felder des Paket-Headers, die einen Datenstrom identifizieren. Wenn ECMP verwendet wird, werden kostengleiche Next-Hop-Pfade basierend auf Routing-Metrikberechnungen und Hash-Algorithmen identifiziert. Das heißt, Routen mit gleichen Kosten haben die gleichen Präferenz- und Metrikwerte und die gleichen Kosten für das Netzwerk. Der ECMP-Prozess identifiziert eine Reihe von Routern, von denen jeder eine legitime gleiche Kosten für den nächsten Hop in Richtung des Ziels ist. Die identifizierten Routen werden als ECMP-Set bezeichnet. Da es nur das Ziel des nächsten Hops anspricht, kann ECMP mit den meisten Routing-Protokollen verwendet werden.
Ein Multipath-Satz zu gleichen Kosten (ECMP) wird gebildet, wenn die Routingtabelle mehrere Next-Hop-Adressen für dasselbe Ziel zu gleichen Kosten enthält. (Routen mit gleichen Kosten haben die gleichen Präferenz- und Metrikwerte.) Wenn ein ECMP-Satz für die aktive Route vorhanden ist, verwendet Junos OS einen Hash-Algorithmus, um eine der Next-Hop-Adressen im ECMP-Satz auszuwählen, die in der Weiterleitungstabelle installiert werden soll.
Sie können Junos OS so konfigurieren, dass mehrere Next-Hop-Einträge in einem ECMP-Satz in der Weiterleitungstabelle installiert werden. Auf Geräten von Juniper Networks kann ein Load Balancing pro Datenstrom durchgeführt werden, um den Datenverkehr über mehrere Pfade zwischen Routing-Geräten zu verteilen. Auf Sicherheitsgeräten von Juniper Networks werden Quell- und Ziel-IP-Adressen und Protokolle untersucht, um die einzelnen Datenverkehrsströme zu ermitteln. Pakete für denselben Datenstrom werden über dieselbe Schnittstelle weitergeleitet. die Schnittstelle ändert sich nicht, wenn der ECMP-Satz ergänzt oder geändert wird. Dies ist wichtig für Funktionen wie Quell-NAT, bei denen die Übersetzung nur während des ersten Pfads der Sitzungseinrichtung für IDP-, ALG- und routenbasierte VPN-Tunnel durchgeführt wird. Wenn ein Paket über eine bestimmte Schnittstelle in einem ECMP-Satz ankommt, stellt das Sicherheitsgerät sicher, dass der umgekehrte Datenverkehr über dieselbe Schnittstelle weitergeleitet wird.
DIE ABLAUFBASIERTE ECMP-Weiterleitung auf Sicherheitsgeräten gilt für IPv4- und IPv6-Unicast-Datenverkehrsströme. Ab Junos OS Version 15.1X49-D60 wird die ablaufbasierte ECMP-Weiterleitung von IPv6-Unicast-Datenverkehr auf allen Geräten der SRX-Serie und vSRX-Instanzen unterstützt. Multicast-Datenstrom wird nicht unterstützt.
Auf Sicherheitsgeräten von Juniper Networks ist die maximale Anzahl von Next-Hop-Adressen in einem ECMP-Satz, die in der Weiterleitungstabelle installiert werden können, 16. Wenn mehr als 16 Next-Hop-Adressen in einem ECMP-Satz vorhanden sind, werden nur die ersten 16 Adressen verwendet.
In einer Chassis-Cluster-Bereitstellung ist eine lokale Schnittstelle eine Schnittstelle, die sich auf demselben Knoten wie die Schnittstelle befindet, auf der ein Paket ankommt, und eine Remoteschnittstelle ist eine Schnittstelle auf dem anderen Chassis-Cluster-Knoten. Wenn eine ECMP-Route sowohl lokale als auch Remote-Schnittstellen in einem Chassis-Cluster hat, wird die lokale Schnittstelle für den nächsten Hop bevorzugt.
Wenn eine Next-Hop-Adresse nicht mehr Teil des ECMP-Satzes ist oder wenn sie aufgrund einer Routenänderung aus der Routingtabelle entfernt wird, wird ein Datenstrom, der den nächsten Hop verwendet, umgeleitet, und die Sitzung ist nicht betroffen. Eine Erneuteinführung des Datenstroms erfolgt auch, wenn eine Konfigurationsänderung die Next-Hop-Adresse entnimmt, oder wenn ein Administrator die Next-Hop-Schnittstelle herunternimmt, ohne sie zu löschen. Wenn eine Next-Hop-Adresse aus der Routing-Tabelle entfernt wird, weil die Schnittstelle gelöscht oder die Sitzung absichtlich gelöscht wird, wird die Sitzung ohne erneutes Routing gelöscht.
Wir empfehlen, dass sich Schnittstellen in einem ECMP-Set in derselben Sicherheitszone befinden. Wenn ein Datenstrom umgeleitet wird und der umgeleitete Datenfluss eine Schnittstelle in einer anderen Sicherheitszone als die ursprüngliche Route verwendet, wird die Sitzung gelöscht.
Um die ablaufbasierte ECMP-Weiterleitung auf Sicherheitsgeräten von Juniper Networks zu konfigurieren, definieren Sie zunächst eine Load-Balancing-Routing-Richtlinie, indem Sie eine oder policy-statement mehrere Konfigurationsanweisungen auf [edit policy-options] Hierarchieebene mit der Aktion load-balance per-packeteinfügen. Wenden Sie dann die Routingrichtlinie auf Routen an, die aus der Routingtabelle in die Weiterleitungstabelle exportiert werden. Fügen Sie dazu die forwarding-table Konfigurationsanweisungen auf export der Hierarchieebene [edit routing-options] hinzu.
ECMP-Implementierung für Junos OS Geräte der SRX-Serie und vSRX-Instanzen
Sie können ECMP für Geräte der SRX-Serie und vSRX-Instanzen konfigurieren, um Lastausgleich per Flow zu implementieren, um den Datenverkehr über mehrere Pfade zwischen Routing-Geräten zu verteilen. Routen mit gleichen Kosten haben die gleichen Präferenz- und Metrikwerte. Diese Geräte untersuchen die Quell-IP-Adresse, die Ziel-IP-Adresse und das Protokoll, um die einzelnen Datenverkehrsströme zu bestimmen. Datenverkehr mit derselben Quell-IP-Adresse, Ziel-IP-Adresse und Protokollnummer, die von einer Sicherheitsrichtlinie zulässig ist, wird an den gleichen nächsten Hop weitergeleitet. Junos OS auf diesen Geräten verwendet die Datenflussinformationen in seiner Hashing-Logik.
Für Geräte der SRX-Serie und vSRX-Instanzen von Junos OS wird ein ECMP-Satz gebildet, wenn die Routingtabelle mehrere Next-Hop-Adressen für dasselbe Ziel zu gleichen Kosten enthält. ECMP ermöglicht die Installation mehrerer Next-Hop-Einträge in einem ECMP-Satz in der Weiterleitungstabelle. Pakete für denselben Datenstrom werden über dieselbe Schnittstelle weitergeleitet. die Schnittstelle ändert sich nicht, wenn der ECMP-Satz ergänzt oder geändert wird.
Wenn ein ECMP-Satz für die aktive Route vorhanden ist, verwendet Junos OS einen Hash-Algorithmus, um eine der Next-Hop-Adressen im ECMP-Satz auszuwählen, die in der Weiterleitungstabelle installiert werden soll.
ECMP-ablaufbasierte Weiterleitung auf Geräten der SRX-Serie und vSRX-Instanzen gilt für IPv4- und IPv6-Unicast-Datenverkehrsströme. Ab Junos OS Version 15.1X49-D60 und Junos OS Version 17.3R1 wird ecmp-flussbasierte Weiterleitung von IPv6-Unicast-Datenverkehr auf allen Geräten der SRX-Serie und vSRX-Instanzen unterstützt. Multicast-Datenstrom wird nicht unterstützt.
ECMP für Reverse Traffic
Wenn Sie die ECMP-Unterstützung für Reverse-Datenverkehr aktivieren, verwendet das Gerät der SRX-Serie ab Junos OS Version 17.3 einen Hash-Algorithmus, um die Schnittstelle für reversen Datenverkehr in einem Datenstrom zu bestimmen. Dieser Prozess ähnelt dem asymmetrischen Routing, bei dem ein Paket in einem Pfad von einer Quelle zu einem Ziel passiert und einen anderen Pfad nimmt, wenn es zur Quelle zurückkehrt.
Wenn Sie diese Funktion nicht aktivieren, wählt das Gerät der SRX-Serie eine Route im ECMP aus, die auf die eingehende Schnittstelle für den umgekehrten Datenverkehr festgelegt ist, was das Standardverhalten ist.
Sie verwenden die allow-reverse-ecmp Konfigurationsaussage in der [edit security flow] Hierarchie, um die ablaufbasierte ECMP-Weiterleitung zu konfigurieren, um einen Hash-Algorithmus bei der Auswahl einer Route im ECMP-Satz für reverse Datenverkehrstransit zu verwenden. Das heißt, wenn Sie diese Funktion aktivieren, anstatt eine Route zur eingehenden Schnittstelle auszuwählen, verwendet das Gerät der SRX-Serie einen Hash-Algorithmus, um eine Route im ECMP für reversen Datenverkehr auszuwählen.
Da die ECMP-datenstrombasierte Richtlinie zonenbasiert ist, stellt die ECMP-Reverse-Lookup-Unterstützung sicher, dass sich die Ausgangsschnittstelle für reversen Datenverkehr in derselben Zone befindet wie die Eingangsschnittstelle, die für den eingehenden Datenverkehr verwendet wird.
Schnittstellen in einem ECMP-Satz müssen sich in derselben Sicherheitszone befinden. Wenn sich die Ausgangsschnittstellenzone von der Eingangsschnittstellenzone unterscheidet, kann eine Sitzung erstellt werden, aber die Pakete werden unterbrochen.
Wenn Sie reverse ECMP aktivieren möchten, sollten Sie sich die folgende Bedingung bewusst sein und Maßnahmen ergreifen, um dies zu vermeiden: Wenn eine ablaufbasierte ECMP-Weiterleitung verwendet wird, kann das Gerät der SRX-Serie bewirken, dass upstream-Geräte nur einseitigen Datenverkehr einer Sitzung sehen. Probleme können bei Upstream-Geräten auftreten, die den Sitzungsstatus aufrechterhalten, z. B. für TCP-Proxy und SYN-Proxy. Das Problem ähnelt dem asynchronen Routing-Verhalten.
Beispiel: Konfigurieren der ablaufbasierten ECMP-Weiterleitung
Dieses Beispiel zeigt, wie Sie die ablaufbasierte ECMP-Weiterleitung konfigurieren.
Anforderungen
Vor der Konfiguration dieser Funktion ist keine spezielle Konfiguration erforderlich, die über die Geräteinitialisierung hinausgeht.
Übersicht
In diesem Beispiel werden drei statische ECMP-Routen auf einem Gerät der SRX-Serie konfiguriert. Jede statische Route verwendet einen anderen Next-Hop-Router, um den Zielserver zu erreichen. Die Schnittstellen zu den Routern werden der nicht vertrauenswürdigen Sicherheitszone zugewiesen. In diesem Beispiel wird eine Load-Balancing-Routing-Richtlinie mit dem Namen erstellt load-balancing-policy und wendet die Richtlinie auf alle Routen an, die aus der Routingtabelle in die Weiterleitungstabelle exportiert werden.
Konfiguration
CLI-Schnellkonfiguration
Um dieses Beispiel schnell zu konfigurieren, kopieren Sie die folgenden Befehle, fügen sie in eine Textdatei ein, entfernen alle Zeilenumbrüche, ändern alle erforderlichen Details, um mit Ihrer Netzwerkkonfiguration zu übereinstimmen, und kopieren Sie dann die Befehle und fügen sie auf Hierarchieebene in die [edit] CLI ein.
## Interfaces ## set interfaces ge-0/0/2 unit 0 family inet address 192.168.4.1/24 set interfaces ge-0/0/4 unit 0 family inet address 192.168.1.1/24 set interfaces ge-0/0/6 unit 0 family inet address 192.168.2.1/24 set interfaces ge-0/0/7 unit 0 family inet address 192.168.3.1/24 ## Static routes ## set routing-options static route 172.16.1.0/24 next-hop 192.168.1.2 set routing-options static route 172.16.1.0/24 next-hop 192.168.2.2 set routing-options static route 172.16.1.0/24 next-hop 192.168.3.2 ## Security zones, address book entry, and policy ## set security zones security-zone trust interfaces ge-0/0/2 set security zones security-zone untrust interfaces ge-0/0/4 set security zones security-zone untrust interfaces ge-0/0/6 set security zones security-zone untrust interfaces ge-0/0/7 set security address-book global address FTP-servers 172.16.1.0/24 set security policies from-zone trust to-zone untrust policy permit-ftp match source-address any set security policies from-zone trust to-zone untrust policy permit-ftp match destination-address FTP-servers set security policies from-zone trust to-zone untrust policy permit-ftp match application junos-ftp set security policies from-zone trust to-zone untrust policy permit-ftp then permit ## ECMP routing policy ## set policy-options policy-statement load-balancing-policy then load-balance per-packet set routing-options forwarding-table export load-balancing-policy
Verfahren
Schritt-für-Schritt-Verfahren
Im folgenden Beispiel müssen Sie auf verschiedenen Ebenen in der Konfigurationshierarchie navigieren.
So konfigurieren Sie die ablaufbasierte ECMP-Weiterleitung:
Konfigurieren Sie Schnittstellen.
[edit interaces] user@host# set ge-0/0/2 unit 0 family inet address 192.168.4.1/24 user@host# set ge-0/0/4 unit 0 family inet address 192.168.1.1/24 user@host# set ge-0/0/6 unit 0 family inet address 192.168.2.1/24 user@host# set ge-0/0/7 unit 0 family inet address 192.168.3.1/24
Konfigurieren Sie statische Routen.
[edit routing-options] user@host# set static route 172.16.1.0/24 next-hop 192.168.1.2 user@host# set static route 172.16.1.0/24 next-hop 192.168.2.2 user@host# set static route 172.16.1.0/24 next-hop 192.168.3.2
Erstellen Sie die
trustSicherheitszonen unduntrustschließen Sie die zugehörigen Schnittstellen ein.[edit security] user@host# set zones security-zone trust interfaces ge-0/0/2 user@host# set zones security-zone untrust interfaces ge-0/0/4 user@host# set zones security-zone untrust interfaces ge-0/0/6 user@host# set zones security-zone untrust interfaces ge-0/0/7
Konfigurieren Sie einen Adressbucheintrag für das Server-Subnetz.
Dieser Eintrag wird in der Sicherheitsrichtlinie verwendet.
[edit security address-book] user@host# set global address FTP-servers 172.16.1.0/24
Konfigurieren Sie eine Sicherheitsrichtlinie.
[edit security policies from-zone trust to-zone untrust] user@host# set policy permit-ftp match source-address any user@host# set policy permit-ftp match destination-address FTP-servers user@host# set policy permit-ftp match application junos-ftp user@host# set policy permit-ftp then permit
Erstellen Sie eine Load-Balancing-Routing-Richtlinie.
[edit policy-options] user@host# set policy-statement load-balancing-policy then load-balance per-packet
Wenden Sie die Routingrichtlinie auf alle Routen an, die aus der Routingtabelle in die Weiterleitungstabelle exportiert werden.
[edit routing-options] user@host# set forwarding-table export load-balancing-policy
Ergebnisse
Bestätigen Sie Ihre Konfiguration im Konfigurationsmodus, indem Sie die show interfacesBefehle , show security, show policy-optionsund show routing-options . Wenn die gewünschte Konfiguration in der Ausgabe nicht angezeigt wird, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@host# show interfaces
ge-0/0/2 {
unit 0 {
family inet {
address 192.168.4.1/24;
}
}
}
ge-0/0/4 {
unit 0 {
family inet {
address 192.168.1.1/24;
}
}
}
ge-0/0/6 {
unit 0 {
family inet {
address 192.168.2.1/24;
}
}
}
ge-0/0/7 {
unit 0 {
family inet {
address 192.168.3.1/24;
}
}
}
user@host# show security
address-book {
global {
address FTP-servers 172.16.1.0/24;
}
}
policies {
from-zone trust to-zone untrust {
policy permit-ftp {
match {
source-address any;
destination-address FTP-servers;
application junos-ftp;
}
then {
permit;
}
}
}
}
zones {
security-zone trust {
interfaces {
ge-0/0/2.0;
}
}
security-zone untrust {
interfaces {
ge-0/0/4.0;
ge-0/0/6.0;
ge-0/0/7.0;
}
}
}
user@host# show policy-options
policy-statement load-balancing-policy {
then {
load-balance per-packet;
}
}
[edit]
user@host# show routing-options
static {
route 172.16.1.0/24 next-hop [ 192.168.1.2 192.168.2.2 192.168.3.2 ];
}
forwarding-table {
export load-balancing-policy;
}
Wenn Sie mit der Konfiguration des Geräts fertig sind, geben Sie im Konfigurationsmodus ein commit .
Überprüfung
Überprüfung der Weiterleitungstabelle
Zweck
Stellen Sie sicher, dass die Routeninformationen für alle ECMP-Routen in der Weiterleitungstabelle angezeigt werden.
Aktion
Geben Sie im Betriebsmodus den show route forwarding-table destination 172.16.1.0 Befehl ein.
user@host> show route forwarding-table destination 172.16.1.0
Routing table: default.inet
Internet:
Destination Type RtRef Next hop Type Index NhRef Netif
172.16.1.0/24 user 0 ulst 262142 2
192.168.1.2 ucst 560 2 ge-0/0/4.0
192.168.2.2 ucst 561 2 ge-0/0/6.0
192.168.3.2 ucst 562 2 ge-0/0/7.0
...
Bedeutung
Die Ausgabe zeigt den Next Hop-Typ von ulst, was bedeutet, dass die Route mehrere berechtigte next Hops hat. Pakete, die für das 172.16.1.0-Netzwerk bestimmt sind, können jeden nächsten Hop in der Liste verwenden.